随着全球数字化进程加快,个人信息的跨境流动已成为常态。
然而,这一趋势也带来了新的风险挑战。
黄志慧教授指出,当前个人信息跨国流动引发的侵害个人信息权利和公共利益的风险日益凸显,亟需法律层面的有效规制。
从国际法治环境看,问题的复杂性更加突出。
国际社会目前尚无专门规范个人信息跨境流动的全球性多边条约,国际贸易和投资领域涉及个人信息保护的条约规则体系化程度也相对有限。
这种国际法律框架的空白,使得各国必然转向国内法手段来规制相关数据流动。
正因如此,世界各国纷纷采取扩张本国个人信息保护法域外效力的做法,将其作为规制数据跨境流动的优先政策选择。
我国在这一背景下赋予个人信息保护法域外效力,既符合国际发展趋势,也具有现实必要性。
然而,这一做法在实践中面临着深层困境。
黄志慧教授指出,尽管我国法域外适用的法律体系建设已取得成效,但相关执法司法部门在具体操作中仍面临立法管辖权与执行管辖权的"鸿沟"。
这意味着,即使法律规定了域外适用的范围,执法部门也可能因为属地性限制而难以有效实施,从而导致法律规定与执法能力之间的脱节。
这种困境反映出一个深刻的法律现实:扩张国内法域外效力并非一项不证自明的政策选择,而需要在多重因素之间进行精心平衡。
一方面,我国需要维护境内自然人的个人信息权利和数据安全;另一方面,过度扩张域外效力可能对我国数字经济发展造成不利影响,也可能与国际法基本原则产生冲突。
基于这一认识,黄志慧教授提出了系统的解决方案。
首先,应秉持理性和务实的精神,对个人信息保护法的域外效力条款进行限缩解释,而非无限扩张。
其次,在适用该法时,应依照国际礼让原则适当协调与外国立法管辖权的冲突,避免过度干预他国事务。
再次,要充分认识到执行措施的域外执法效能限制,不能制定超出实际执行能力的法律规定。
在具体操作层面,教授建议对个人信息保护法域外适用的情形进行更加精细化的规定。
应综合事实因素判断境外个人信息处理者向境内自然人提供产品或服务的真实目的,而非仅凭形式判断。
对于境外个人信息处理者分析、评估境内自然人行为的行为,应增设具体的目的要求,明确其必须以特定目的为前提。
同时,还应附加一项重要条件:境外个人信息处理者的行为必须对我国境内个人信息权利人的合法利益产生实际损害,才能适用我国法律。
这些具体化的要求,有助于限定我国法律、行政法规规定的域外适用情形,防止过度扩张。
通过这样的制度设计,可以在个人信息跨境流动的利益与个人信息安全保护的利益之间实现更好的平衡。
一方面,维护了我国公民的基本权利和国家数据安全;另一方面,也为我国数字经济的国际竞争力提供了必要的制度空间,避免因过度保护而导致的国际商业摩擦。
跨境数据流动既是数字时代的基础设施,也是风险与责任交织的治理领域。
把握个人信息保护法域外适用的尺度,关键不在于“越广越强”,而在于边界清晰、标准可判、措施可行。
只有在尊重国际协调规律、兼顾发展与安全的前提下,形成可落地的规则体系,才能更好守护个人权益,也为数字经济的开放合作提供稳定预期。